FTC는 사용자들이 이름, 프로필 사진 및 페이지, 성별, 친구 목록 등 일부 정보에 대한 접근을 더 이상 제한할 수 없게 되었음에도 Facebook이 이에 관하여 적절히 공지하지 않았고 오히려 변경된 정보보호처리방침이 사용자들에게 개인 정보에 대한 더 많은 관리 권한을 제공하였다고 진술한 것은 기만적인 행위 또는 관행이라고 판단하였다. 그리고 FTC는 Facebook이 일반 공개한 사용자의 정보는 사용자들에게 중요(material)한 것이며 이를 일반 공개 함으로써 사용자에게 건강과 안전 등에 위협을 가하였다고 보았다. 이와 같이 사용자의 동의 없이 정보를 일반 공개하고 이를 소급적용한 것은 소비자들에게 중대한 피해를 끼치는 불공정한 행위 또는 관행이라고 보았다.
2) 광고 목적의 사용자 개인 정보 제공
Facebook 매출의 98%(696억불)를 차지하는 광고 서비스의 주요한 특징 중 하나는 회사가 광고를 게시할 소비자를 특정할 수 있는 기능(audience customization)을 제공한다는 것이다. 예를 들어 한국에서 화장품 사업을 하는 회사가 Facebook에 광고를 게시하는 경우 서울에 거주하는 20~30대 여성인 Facebook 사용자에게만 그 광고 포스트를 게시할 수 있게 하는 것이다. 회사의 상품에 관심이 있을 만한 소비자에게만 광고를 노출시켜 비용 대비 광고의 효과를 높이고자 함이다.
이를 위해 Facebook은 사용자 25억명의 개인정보를 사용하여 거주지, 나이, 성별, 생일, 연애 관계 (relationships), 관심 분야 및 '좋아요', 학력 등의 '기준 (targeted traits)'으로 사용자를 분류한다. 광고를 게시하고자 하는 회사는 그 '기준'을 선택하고 Facebook은 그 '기준'에 해당하는 소비자에게만 광고를 게시한다. 이에 Facebook은 "광고를 게시하고자 하는 회사에게 Facebook 사용자의 정보를 동의 없이 제공하지 않는다"고 주장한다. 식별성을 삭제한 분류화 된 정보만을 회사에게 제공하기 때문이다.
그러나 FTC는 Facebook가 회사들에게 식별성 있는 개인정보를 제공한 사실을 발견하였다. 사용자가 Facebook에 게시된 어떤 회사의 광고를 클릭한 경우 Facebook은 그 광고를 게시한 회사에게 광고를 클릭한 사용자의 Facebook 사용자 아이디(ID)를 제공한 것이다. 그 회사는 알게 된 사용자의 ID를 통해 광고를 클릭한 사용자의 프로필 페이지에 접근하여 그 사용자의 실명을 확인할 수 있고 그 실명을 회사가 선택한 '기준'과 결합하여 식별성 있는 개인 정보를 취득하게 된다. FTC는 이와 상반된 Facebook의 진술은 거짓 또는 부정확(false or misleading)하며 이와 같은 행위는 기만적이라고 판단하였다.
3. Facebook의 불법 사항에 대한 FTC의 시정 조치
FTC는 2012년 8월 위와 같이 발견한 불법 사항에 대한 시정 조치를 내렸다. 그 시정 조치에는 향후 20년간 개인 정보 보호에 대한 부정확한 진술(misrepresentation) 금지, 통합적인 개인 정보 보호 프로그램 수립, 개인 정보 제공 방법 변경 시 사용자 동의 취득 의무 등이 포함된다. 그러나 Facebook은 그 불법 사항을 계속해서 시정하지 않았다. 이에 FTC는 2019년 7월 미국 연방 법원에 Facebook을 상대로 과태료 50억불 지급 및 강화된 시정 조치 이행을 구하는 소송을 제기하였고 법원은 이를 올해 4월 승인하였다.
FTC의 2019년 강화된 시정 조치에는 이사회 내 독립된 정보 보호 위원회를 설립하는 등 구조적인 변경을 통해 CEO 등 경영진이 독자적으로 의사결정하지 못하도록 하는 내용이 포함된다. 그리고 모든 사업 단계에서 사용자의 정보 보호 여부를 검토하도록 하는 법규 준수 프로그램 수립 및 실행 의무도 부가된다. 또한 Facebook의 CEO가 분기별로 FTC에 Facebook이 정보 보호 관련 법규를 준수하고 있음을 인증(certify) 하도록 하는 등 FTC에 대한 정기적인 보고도 요구된다.
Ⅲ. Facebook 사건의 시사점
FTC의 Facebook에 대한 50억불의 과태료 및 시정 조치는 미국 정부 역사상 가장 큰 금액의 과태료를 부가함으로써 정보 보호에 대한 기업들의 인식을 강화시켰다는 긍정적인 평가도 있는 반면, Facebook의 불법 사항에 비하여 그 처벌이 가벼웠다는 평가를 받기도 하였다(FTC의 2019년 과태료 부가 등의 내용 공개 직후 Facebook 주가는 올랐다고 한다). CEO 등 임원들에 대한 책임을 묻지 않았고 Facebook의 비지니스 모델을 변경하지 않았으며 수년간 Facebook이 행한 소비자 정보 보호 위법 행위에 대한 면책(immunity)을 제공했기 때문이다.
하지만 Facebook 사건이 기업들에게 전하는 메시지는 분명하다. 정보처리방침은 기업이 실제로 소비자 정보를 처리하는 모든 내용을 진실하고 완전하게 전달해야 한다는 것이다. 이를 위해 변화하는 기업의 서비스, 상품 및 비지니스 모델에 부합하도록 정기적으로 정보처리방침을 검토 및 변경해야 한다. 그리고 미국에서도 정보 보호 관련 법규가 급변하고 있는 만큼 계속적으로 현지 전문가를 통해 법규 준수 여부에 대한 자문을 받아야 할 것이다. 정보 보호 관련 법규를 준수하지 못한 결과가 해킹 등을 통해 소비자에게 실제적인 손실을 가져오지 않더라도 미국 FTC는 유럽 GDPR보다 높은 수준인 기업 매출의 무려 9%에 해당하는 과태료를 부가하였다는 점을 기억할 필요가 있다.
기사링크
https://www.lawtimes.co.kr/Legal-Opinion/Legal-Opinion-View?serial=162991
법률사무소 이소의 정석희 변호사의 '미국의 정보보호법'에 관한 칼럼이 법률신문에 게재되었습니다.
Ⅰ. 미국 정보보호법과 연방 거래 위원회(Federal Trade Commission)
미국에는 한국의 개인정보보호법, 유럽연합(EU)의 GDPR(General Data Protection Regulation)과 같이 연방 차원에서 개인정보의 보호에 관한 사항을 통합적으로 규율하고 있는 법은 아직 없다. 다만, 연방 또는 주 차원에서 산업 분야 또는 지역별로 규율하는 정보 보호 관련 수백 개의 법이 존재할 뿐이다.
하지만 산업 분야나 지역과 무관하게 기업들이 항상 염두 해야 하는 법 조항이 하나 있다. 바로 미국 연방 거래법(Federal Trade Commission Act)의 Section 5(a) 이다. 해당 법 조항은 상거래(commerce) 중 또는 이에 영향을 미치는 '불공정(unfair)'하거나 '기만적(deceptive)'인 행위나 관행(practices)은 불법(unlawful)하다고 규정한다. 해당 법의 집행 기관인 미국 연방 거래 위원회(이하 'FTC')는 불법한 정보 보호 관련 기업의 행위를 단속하며 준수를 위한 최상의 실천방안(Best Practice) 등의 세부 규정 및 지침을 제시하기도 한다.
Ⅱ. 페이스북(Facebook) 사건
1. Facebook 사건의 전말
Facebook이 2009년 12월 개인정보처리방침(Privacy Policy)를 변경한 후 사용자들의 개인정보 처리에 대한 문제점 제기가 증가하기 시작했다. FTC는 1년여 기간의 조사 후 2012년 8월 발견한 불법 사항에 대한 시정조치 명령(consent order)을 내렸다. 하지만 이후 Facebook은 사용자의 동의 없이 제3자에게 개인정보를 제공하는 등 그 시정 조치를 준수하지 않았다(트럼프 대통령의 2016 선거 캠페인을 위해 고용된 Cambridge Analytica에게 동의 없이 개인 정보를 제공하여 논란이 된 바 있다). 이에 FTC는 2019년 7월 Facebook에 50억불의 과태료와 강화된 시정 조치를 부가하게 된다. 50억불의 과태료는 미국 정부가 기업에 부가한 과태료 중 가장 큰 금액이라고 한다.
2. Facebook의 불법적인 개인정보 처리
1) 기만적이고 불공정한 개인정보처리방침 변경
FTC가 2012년 지적한 Facebook의 불법 사항 중 하나는 2009년 11월 Facebook이 개인정보처리방침을 변경하여 사용자의 일부 정보를 '일반 공개 (publicly available)' 하도록 하였다는 점과 관련된다. 해당 변경 후 Facebook 사용자는 게임 및 메신저 등의 앱을 제공하는 외부 앱개발자들이 사용자들의 정보에 접근하는 것을 제한할 수 없게 된 것이다. Facebook 사용자가 앱을 설치한 경우 그 앱을 설치한 사용자 뿐만 아니라 사용자의 'Facebook 친구들(Facebook Friends)'의 정보까지 ('Facebook 친구들'이 그 앱을 설치하지 않았더라도) 개발자에게 제공되기 때문이다.또한 사용자의 친구 목록, 프로필 사진 및 페이지도 일반에게 공개되는 정보로 지정됨에 따라 사용자의 친구가 아닌 제3자가 개인 정보에 접근하는 것을 제한할 수 없게 되었다(이는 2012년 기준이며 현재 Facebook의 프라이버시 설정과 차이가 있다).
FTC는 사용자들이 이름, 프로필 사진 및 페이지, 성별, 친구 목록 등 일부 정보에 대한 접근을 더 이상 제한할 수 없게 되었음에도 Facebook이 이에 관하여 적절히 공지하지 않았고 오히려 변경된 정보보호처리방침이 사용자들에게 개인 정보에 대한 더 많은 관리 권한을 제공하였다고 진술한 것은 기만적인 행위 또는 관행이라고 판단하였다. 그리고 FTC는 Facebook이 일반 공개한 사용자의 정보는 사용자들에게 중요(material)한 것이며 이를 일반 공개 함으로써 사용자에게 건강과 안전 등에 위협을 가하였다고 보았다. 이와 같이 사용자의 동의 없이 정보를 일반 공개하고 이를 소급적용한 것은 소비자들에게 중대한 피해를 끼치는 불공정한 행위 또는 관행이라고 보았다.
2) 광고 목적의 사용자 개인 정보 제공
Facebook 매출의 98%(696억불)를 차지하는 광고 서비스의 주요한 특징 중 하나는 회사가 광고를 게시할 소비자를 특정할 수 있는 기능(audience customization)을 제공한다는 것이다. 예를 들어 한국에서 화장품 사업을 하는 회사가 Facebook에 광고를 게시하는 경우 서울에 거주하는 20~30대 여성인 Facebook 사용자에게만 그 광고 포스트를 게시할 수 있게 하는 것이다. 회사의 상품에 관심이 있을 만한 소비자에게만 광고를 노출시켜 비용 대비 광고의 효과를 높이고자 함이다.
이를 위해 Facebook은 사용자 25억명의 개인정보를 사용하여 거주지, 나이, 성별, 생일, 연애 관계 (relationships), 관심 분야 및 '좋아요', 학력 등의 '기준 (targeted traits)'으로 사용자를 분류한다. 광고를 게시하고자 하는 회사는 그 '기준'을 선택하고 Facebook은 그 '기준'에 해당하는 소비자에게만 광고를 게시한다. 이에 Facebook은 "광고를 게시하고자 하는 회사에게 Facebook 사용자의 정보를 동의 없이 제공하지 않는다"고 주장한다. 식별성을 삭제한 분류화 된 정보만을 회사에게 제공하기 때문이다.
그러나 FTC는 Facebook가 회사들에게 식별성 있는 개인정보를 제공한 사실을 발견하였다. 사용자가 Facebook에 게시된 어떤 회사의 광고를 클릭한 경우 Facebook은 그 광고를 게시한 회사에게 광고를 클릭한 사용자의 Facebook 사용자 아이디(ID)를 제공한 것이다. 그 회사는 알게 된 사용자의 ID를 통해 광고를 클릭한 사용자의 프로필 페이지에 접근하여 그 사용자의 실명을 확인할 수 있고 그 실명을 회사가 선택한 '기준'과 결합하여 식별성 있는 개인 정보를 취득하게 된다. FTC는 이와 상반된 Facebook의 진술은 거짓 또는 부정확(false or misleading)하며 이와 같은 행위는 기만적이라고 판단하였다.
3. Facebook의 불법 사항에 대한 FTC의 시정 조치
FTC는 2012년 8월 위와 같이 발견한 불법 사항에 대한 시정 조치를 내렸다. 그 시정 조치에는 향후 20년간 개인 정보 보호에 대한 부정확한 진술(misrepresentation) 금지, 통합적인 개인 정보 보호 프로그램 수립, 개인 정보 제공 방법 변경 시 사용자 동의 취득 의무 등이 포함된다. 그러나 Facebook은 그 불법 사항을 계속해서 시정하지 않았다. 이에 FTC는 2019년 7월 미국 연방 법원에 Facebook을 상대로 과태료 50억불 지급 및 강화된 시정 조치 이행을 구하는 소송을 제기하였고 법원은 이를 올해 4월 승인하였다.
FTC의 2019년 강화된 시정 조치에는 이사회 내 독립된 정보 보호 위원회를 설립하는 등 구조적인 변경을 통해 CEO 등 경영진이 독자적으로 의사결정하지 못하도록 하는 내용이 포함된다. 그리고 모든 사업 단계에서 사용자의 정보 보호 여부를 검토하도록 하는 법규 준수 프로그램 수립 및 실행 의무도 부가된다. 또한 Facebook의 CEO가 분기별로 FTC에 Facebook이 정보 보호 관련 법규를 준수하고 있음을 인증(certify) 하도록 하는 등 FTC에 대한 정기적인 보고도 요구된다.
Ⅲ. Facebook 사건의 시사점
FTC의 Facebook에 대한 50억불의 과태료 및 시정 조치는 미국 정부 역사상 가장 큰 금액의 과태료를 부가함으로써 정보 보호에 대한 기업들의 인식을 강화시켰다는 긍정적인 평가도 있는 반면, Facebook의 불법 사항에 비하여 그 처벌이 가벼웠다는 평가를 받기도 하였다(FTC의 2019년 과태료 부가 등의 내용 공개 직후 Facebook 주가는 올랐다고 한다). CEO 등 임원들에 대한 책임을 묻지 않았고 Facebook의 비지니스 모델을 변경하지 않았으며 수년간 Facebook이 행한 소비자 정보 보호 위법 행위에 대한 면책(immunity)을 제공했기 때문이다.
하지만 Facebook 사건이 기업들에게 전하는 메시지는 분명하다. 정보처리방침은 기업이 실제로 소비자 정보를 처리하는 모든 내용을 진실하고 완전하게 전달해야 한다는 것이다. 이를 위해 변화하는 기업의 서비스, 상품 및 비지니스 모델에 부합하도록 정기적으로 정보처리방침을 검토 및 변경해야 한다. 그리고 미국에서도 정보 보호 관련 법규가 급변하고 있는 만큼 계속적으로 현지 전문가를 통해 법규 준수 여부에 대한 자문을 받아야 할 것이다. 정보 보호 관련 법규를 준수하지 못한 결과가 해킹 등을 통해 소비자에게 실제적인 손실을 가져오지 않더라도 미국 FTC는 유럽 GDPR보다 높은 수준인 기업 매출의 무려 9%에 해당하는 과태료를 부가하였다는 점을 기억할 필요가 있다.
기사링크
https://www.lawtimes.co.kr/Legal-Opinion/Legal-Opinion-View?serial=162991